继上周的RiskIQ后,微软周四再宣布收购云计算基础架构权限管理(Cloud Infrastructure Entitlement Management,CIEM)创业公司CloudKnox,以强化多云及混合云的访问管理,创建零信任(zero trust)安全环境。
这项收购是应对企业远程办公及在公司上班混合作业模式,且使用越来越多云计算服务需求而生。许多服务之间已经能自动协同、交换资料不需人为介入,像是VM及容器,公司员工也从防火墙之外访问公司网络,这也导致服务账号及用户拥有的访问特权(privilege)、许可、权限等让企业暴露在网络攻击的风险下。一些未列管或私自创建的账号,或是合法账号具备过大的访问权限,可能导致小至信息外泄,大到重要系统被接管,或是勒索软件加密关键资料及文件。近日多起企业被黑事件突显攻击者取得管理不当的访问凭证,即可在网络间横向移动。这也突显零信任(zero-trust)安全的重要性,确保应用及用户权限最小化的访问管理原则。
微软表示,传统特权访问管理(privilege access management)及身份治理和管理方案(identity governance and administration)可应对本地部署环境,随着企业转型多云环境,传统方案已不足以提供全面透通的权限和许可管理,也无法提供多云或云计算原生环境的身份生命周期管理或治理。
微软表示,CloudKnox的收购能为Azure Active Directory用户提供多云及混合云环境中的权限管理,使企业清楚了解用户及应用、作业的访问权限,自动化执行访问政策,确保最小权限的原则。它的机器学习算法可持续分析以防止可疑活动或账号。收购进来后,也能和微软现有安全方案,像是Microsoft 365 Defender、Azure Defender和Azure Sentinel SIEM产品无缝集成。
这是微软三个月以来最新一桩安全收购,它在6月及上周分别收购了固件安全企业ReFirm及威胁情报及攻击面管理厂商RiskIQ。去年微软还买下IoT工控安全平台厂商CyberX。
微软的Office 365拥有大量企业用户,促使该公司强化云计算访问安全。一项例子是年初美国发生云计算邮件安全企业Mimecast被用来借道黑入M365 Exchange。攻击者利用窃来Mimecast用户cookies,使用Pass the cookie手法连接验证、登录Exchange Web Service,绕过后者的多因素验证(MFA)而劫持用户MS365 Exchange的信件。